Формирование систем внутреннего контроля и аудита в кредитной организации

Во всех крупных банковских структурах все большее внимание уделяют надежности систем внутреннего контроля. Отчасти такой повышенный интерес к внутреннему контролю объясняется существенными убытками, понесенными рядом банковских учреждений. Анализ проблем, вызвавших эти убытки, показывает, что их можно было избежать, если бы банки имели эффективные системы внутреннего контроля. Такие системы помогли бы предотвратить или своевременно выявить проблемы, которые привели к убыткам, тем самым уменьшая ущерб, понесенный банковскими организациями.

Контроль очень важен, чтобы организация функционировала успешно. С помощью контроля удается определить, достигла ли организация своих целей, обнаружить ошибки руководства и ошибки персонала. Было бы заблуждением сводить контроль только к ограничениям, заставляющим каждого действовать в рамках, установленных законодательством, нормативными актами и стандартами профессиональной деятельности. Прежде всего контроль — это процесс обеспечения достижения кредитной организацией своих целей при минимизации рисков. В этой связи особое значение приобретает организация системы внутреннего контроля (СВК), которая в большинстве российских кредитных учреждениях находится в стадии становления. В целом недостатки в данной сфере обусловлены непониманием собственниками и советом директоров той роли, которую должна играть служба внутреннего контроля. Характерным недостатком организации внутреннего контроля в российских банках является то, что эта служба одновременно выполняет и функции внутреннего аудита. Другой проблемой является зависимость службы внутреннего контроля от исполнительного руководства как от работодателя.

Между тем внутренний контроль является одним из ключевых механизмов надлежащего корпоративного управления. Рационально организованный процесс внутреннего контроля, осуществляемый советом директоров, менеджерами и сотрудниками всех уровней, играет принципиальную роль в способности кредитной организации выполнять взятые на себя обязательства, поддерживать финансовую устойчивость и обеспечивать выполнение поставленных целей.

В этой связи заслуживает внимания создание, во всяком случае в крупных банках, которые относятся к числу системообразующих и социально значимых, специальных комитетов совета директоров, наделенных функциями проверки и представления отчета по осуществлению внутреннего контроля и аудита — комитетов по аудиту (аудиторских комитетов — Audit committee). Создание таких комитетов в структуре советов директоров не освобождает совет директоров от ответственности за финансовую отчетность, а усиливает возможности по выполнению его задач.

Изначально внутренний контроль на Западе стали осуществлять комитеты по аудиту при правлениях организаций (audit committee of the board of directors). Эти комитеты включали в свой состав в основном нештатных сотрудников, независимых внешних аудиторов и некоторое число внутренних аудиторов.

Впервые комитеты по аудиту появились в Канаде на основе Акта о банках 1980 г., переработанного и вновь изданного в 1992 г. Согласно этому акту комитеты по аудиту должны быть образованы при привилегированных коммерческих банках (chartered banks) с целью предварительной проверки достоверности финансовой отчетности банка до ее утверждения администрацией, а также для проверки других обязательных отчетов. Кроме того, комитеты по аудиту должны были проверять действенность системы внутрибанковского контроля, проводить анализ целесообразности инвестиций и других операций, которые могли бы существенно повлиять на финансовое положение банка.

Впоследствии такие комитеты возникли в Великобритании и Соединенных Штатах Америки. Ныне комитеты по аудиту создаются и во Франции, образуя своего рода передаточное звено между банком и Комиссией по банкам, осуществляющей государственный надзор за коммерческими банками.

Согласно исследованиям транснациональной аудиторской фирмы «Coopers & Lybrand», проведенным в 250 комитетах по аудиту в США, в 1994 г. эти комитеты в основном занимались поддержанием отношений с внешними аудиторами, выбирая аудиторов, контролируя степень их независимости, проверяя планы проведения аудиторских проверок и объемы предстоящей работы. В соответствии с полученными выводами определялась обоснованность гонораров, выплачиваемых внешним аудиторам за аудит и консультирование, а также контролировалась эффективность и другие последствия этой работы. Кроме того, совместно с внутренними и внешними аудиторами критическому анализу подвергалась система внутреннего контроля, проверялось качество внутреннего контроля и соблюдение этических правил кредитным учреждением[1].

Судя по имеющимся публикациям, роль и эффективность комитетов по аудиту год от года возрастает и большее значение приобретают системы внутреннего контроля (Internal Control Systems), которые делятся на:

  • • контроль исполнения функций с тем, чтобы ни одна операция не осуществлялась от начала до конца одним и тем же лицом;
  • • текущий контроль за ведением первичного учета, правильностью и своевременностью составления документации и организацией внутреннего документооборота (Internal Check);
  • • контроль за качеством работы служащих, включая высший управленческий персонал.

Проверка качества функционирования системы внутреннего контроля сводится прежде всего к тому, четко ли определены в инструкциях служебные обязанности и права работников, а также указаны ли те лица, которые должны заменить работника в случае его отсутствия.

Огромные потери, исчисляемые миллиардами долларов, были понесены из-за того, что не были своевременно услышаны сигналы внутреннего аудита (контролера). Кстати, в деле банка «Бэрингс» руководством был проигнорирован отчет внутреннего аудитора, обращающего внимание на недостатки в контроле за деятельностью банка.

Ныне осуществляются меры по приданию внутреннему аудиту как части системы внутреннего контроля более широких прав и независимого статуса с тем, чтобы его выводы принимались со всей полнотой ответственности.

Решению этой задачи посвящена нынешняя работа Института внутренних аудиторов Соединенного Королевства (The Institute of Internal Auditors UK), который считает, что в условиях более сложной и рискованной банковской деятельности все труднее контролировать события, поэтому очень важно вести подготовку внутренних аудиторов и осуществлять постоянное повышение их квалификации.

Потребность во внутреннем аудите возникла и в связи с тем, что высшее звено иерархии управления банком не занимается анализом данных повседневного контроля[2]. Внутренний аудит дает информацию об этой деятельности и подтверждает достоверность отчетов руководителей подразделений, этот аудит необходим главным образом для предотвращения потери ресурсов и осуществления необходимых изменений внутри организации.

Если говорить непосредственно о кредитной организации, то определенные функции внутренних аудиторов выполняют ревизоры, подчиненные одному из заместителей председателя правления банка, однако функции внутренних аудиторов шире и включают:

  • • контроль по направлениям расходования средств (состоянием активов) и предотвращения убытков;
  • • подтверждение точности информации, используемой руководством при принятии решений;
  • • подтверждение выполнения внутрисистемных контрольных процедур;
  • • анализ эффективности функционирования системы внутреннего контроля и обработки информации;
  • • оценку качества информации, выдаваемой управленческой системой банка.

Таким образом, в рамках внутреннего аудита осуществляется не только детальный контроль за сохранностью активов, но и контроль за политикой и качеством управления отдельными подразделениями банка.

Внутренний и внешний аудит дополняют друг друга как формы деятельности, но в то же время существенно различаются между собой (табл. 6.5).

На основании изучения сравнений данных таблицы можно сказать, что внимание внутренних аудиторов акцентируется в первую очередь на том, как функционируют системы контроля и обработки информации[3], насколько они эффективны в достижении целей, для которых предназначены, и какие в них могут быть сделаны усовершенствования. Успех внутренней аудиторской проверки измеряется наличием рекомендаций по решению имеющихся и будущих проблем, а показателями ее качества являются полнота аудита, издержки по его проведению и эффективность. Обязанности внешнего аудитора и подробности проведения внешнего аудита более подробно рассмотрены во втором разделе данного отчета. В любом случае аудитор должен выразить в своем заключении степень соответствия собранной информации установленным критериям. Последние принимаются в виде стандартов (нормативов) руководством банка.

При совете директоров российских коммерческих банков может быть создан консультативный орган — Комитет по аудиту (КА)[4] — аналогично описанному зарубежному опыту. КА не отвечает за конкретные аспекты деятельности, в отличие от совета директоров и руководства, поскольку в его задачи входит лишь содействие обмену информацией между различными сторонами, задействованными в процессе внутреннего контроля, и оказание помощи совету директоров в выполнении этим органом своих обязанностей.

Сопоставление характеристик внутреннего и внешнего аудита

Таблица 6.5

Факторы

Внутренний аудит

Внешний аудит

Поста

новка

задач

Определяется руководством исходя из потребностей управления как подразделениями банка, так и банком в целом

Определяется договором между независимыми сторонами — банком и аудиторской фирмой

Объект

Решение отдельных функциональных задач управления, разработка и проверка информационных систем банка

Комплексная проверка систем учета и отчетности банка

Цель

Определяется руководством банка

Определяется законодательством по аудиту: оценка достоверности финансовой отчетности и подтверждение соблюдения действующего законодательства

Средства

Выбираются самостоятельно либо определяются стандартами внутреннего аудита

Определяются общепринятыми аудиторскими стандартами

Вид деятельности

Исполнительская

Предпринимательская

Органи

зация

работы

Выполнение конкретных заданий руководства

Определяется аудитором самостоятельно исходя из общепринятых норм и правил аудиторской проверки

Взаимо

отноше

ния

Подчиненность руководству банка, зависимость от него

Равноправное партнерство, независимость

Субъек

ты

Сотрудники, подчиненные руководству банка и находящиеся в штате банка

Независимые эксперты, имеющие соответствующий аттестат и лицензию на право заниматься этим видом предпринимательства

Квали

фикация

Определяется по усмотрению руководства банком

Регламентируется государством

Оплата

Начисление заработной платы по штатному расписанию

Оплата предоставленных услуг по договору

Ответст

венность

Перед руководством за выполнение обязанностей

Перед клиентами и перед третьими лицами, установленная законодательными и нормативными актами

Отчет

ность

Перед руководством

Итоговая часть аудиторского заключения публикуется, аналитическая часть передается клиенту

КА может выполнять следующие функции:

  • 1) обеспечивать информационное взаимодействие между советом директоров, руководством и внутренними и внешними аудиторами;
  • 2) вести наблюдение за выполнением функций внутреннего аудита и оценивать степень самостоятельности, качество работы, ее маештабы и эффективность затрат подразделения, выполняющего функции внутреннего аудита;
  • 3) независимо проводить проверку финансовой информации, содержащейся в отчетности для внешних пользователей;
  • 4) представлять рекомендации относительно назначения внешнего аудитора;
  • 5) проверять соблюдение советом директоров и банком действующих законов и правил;
  • 6) оценивать достаточность и эффективность системы внутреннего контроля (СВК) в целом.

Чтобы действовать эффективно, внутренний аудитор банка не должен зависеть от линейного и функционального управления, но и он не может не зависеть от реальной ситуации, являясь нанятым служащим. Внутрибанковские аудиторы обеспечивают руководство ценной информацией для принятия решений, касающихся эффективного функционирования всего банка. В то же время пользователи со стороны вряд ли захотят руководствоваться информацией, представленной внутренними аудиторами, из-за отсутствия у последних независимости. Это отсутствие независимости является главным отличием внутрибанковских аудиторов от аудиторских фирм.

Функции внутреннего аудитора могут выполнять не только работники банка, но и приглашенные независимые аудиторы.

В целях координации надзорной деятельности в рамках каждой банковской структуры внутренний аудит должен основываться на тех же организационных началах, что и внутренний контроль, а именно: определение норм, практические исследования, отчетность и рекомендации; таким образом, внутренний аудит охватывает, как правило, все функциональные направления деятельности кредитной организации.

Соответственно изложенному внутренние аудиторы могут привлекаться для выполнения различных работ: использование внутренних резервов (операционный аудит); анализ мероприятий, методов и процедур в целом для выявления эффективности, производительности и экономичности, проверка на соответствие; отслеживание адекватности основополагающим процедурам и нормативным актам.

Структура организации работы внутрибанковских аудиторов может предусматривать также специализацию по изучению использования ресурсов банка: трудовых, информационных, технологических и финансовых. В частности, при анализе организационной структуры кредитной организации можно выделить следующие аспекты:

  • 1) адекватность организационной структуры внутренним положениям;
  • 2) распределение персонала и управление им;
  • 3) соответствие ресурсов задачам текущего и ожидаемого развития;
  • 4) эффективность существующей операционной политики и ведения банковских операций;
  • 5) наличие связи между филиалами и главным офисом.

Процесс аудиторской проверки должен включать следующие

этапы:

  • 1. Определение норм. Выбор тех норм, с помощью которых предмет аудиторской проверки может быть оценен. Примером могут быть нормы эффективного контроля, деятельности и отчетности (включая бухгалтерские нормы).
  • 2. Исследование. Сбор эмпирических данных по вопросам, являющимся предметом аудиторской проверки.
  • 3. Отчетность. Обратная связь с независимыми заинтересованными сторонами для сравнения норм с фактическими данными.
  • 4. Рекомендации последующих действий для исправления выявленных отклонений от норм.

Если все работы по этим четырем этапам выполнены, то внутренний аудит может выявить проблемные области, где обнаружены отклонения от установленных норм, и выполнять роль первой стадии процесса совершенствования деятельности в этих областях.

Основной частью системы контроля и внутреннего аудита является свидетельство выполненной работы. Необходимо, чтобы каждое лицо ставило свою подпись после того, как работа выполнена или осуществлен контроль. Тот, кто проверяет или просто изучает работу, также должен поставить свою подпись. Без таких свидетельств не существует доказательств того, что проверка проведена.

Не все проверки в процессе внутреннего аудита должны быть детальными и требующими больших затрат времени, однако в некоторых случаях скрупулезная проверка результатов контроля является очень эффективным методом. Например, внутренний аудитор может тщательнейшим образом проверить журнал регистрации кредитных договоров, чтобы убедиться, работает ли кредитный контроль. Большое число невозвратных ссуд может означать отсутствие эффективного контроля за платежеспособностью ссудозаемщиков.

В таких областях, как физический контроль, может оказаться важным наблюдение за контролем в действии. Например, контролируя выдачу наличных средств в кассе, проверить, на все ли операции выписываются расходные ордера. Впоследствии это будет необходимо для того, чтобы установить, полностью ли осуществляется контроль путем сличения номеров ордеров с записями в журнале кассовых операций.

При проверке достоверности и надежности отчетности, а также сохранности денежных средств в кассе внутренний аудитор будет осуществлять контроль, аналогичный тому, который осуществлял бы внешний аудитор. Однако внешний аудитор рассматривает аудит со своей узкой точки зрения — ему необходимо убедиться в том, что отчетность достаточно надежна для формирования финансового отчета. Для внутреннего аудитора важно, выполняются ли, например, такие задачи, как охрана и учет денежных средств в кассе, ради которых касса и хранилище созданы. Вследствие аналогичности отдельных работ внутреннего и внешнего аудита зачастую бывает экономически эффективно разрабатывать совместный план, который соответствовал бы целям обеих проверок и предупреждал бы дублирование работ.

После того как внутренний аудитор закончил проверки в определенной области, он представляет отчет о результатах. Отчет всегда должен направляться тому, кто является независимым от лица, область ответственности которого проверялась. Однако часто бывает полезно обсудить отчет до его отправки с этим ответственным лицом. Отчет должен включать следующую информацию:

  • • неудовлетворительное исполнение обязанностей на местах в структуре подразделения;
  • • отклонения в системе управления, которые обнаружил аудитор;
  • • рекомендации по улучшению.

Руководители подразделений банка обязаны давать ответы аудиторам на все возникшие вопросы. Это особенно важно, когда рекомендации не были выполнены. Внутренний аудитор не должен привлекаться к реализации его рекомендаций, поскольку это создает проблемы с последующей оценкой практических улучшений.

Вследствие субъективности оценок, которые неизбежны в процессе аудита управления, окончательный отчет не может быть признан гарантированно достоверным, с тем чтобы он мог широко использоваться внешними потребителями. Отчеты внутреннего аудита сообщают о проблемах в подразделениях, которые руководство может исследовать более глубоко, если у него есть сомнения относительно объективности оценок, которые привели к выявлению этих проблем. Внешние участники аудиторского процесса не обладают такой возможностью.

Частью обязанностей аудитора должна быть классификация рисков в зависимости от вероятности потери или утраты репутации. Подобная классификация помогает аудитору распределить неизбежно ограниченные ресурсы наиболее эффективным способом.

Внутренний аудит является ключевым элементом системы внутреннего контроля, отличной от системы первичного контроля, предусматривающей ежедневный контроль за сделками и операциями. Внутренний аудит осуществляет независимую оценку деятельности банка в качестве услуги, оказываемой этой организации. Хотя конкретные характеристики функции внутреннего аудита могут быть различными в разных странах и банках, принято считать, что внутренние аудиторы выполняют следующие задачи в рамках системы внутреннего контроля:

  • • регулярный обзор масштабов, эффективности и результативности систем внутреннего контроля, в том числе проведение в жизнь принципов и процедур, установленных советом директоров и руководством;
  • • обзор информационных систем, в том числе электронных, проверка учетной и другой документации;
  • • тестирование методов проведения операций и специфических процедур внутреннего контроля, специальные исследования;
  • • представление руководству писем с описанием основных недостатков, обнаруженных в системе внутреннего контроля в ходе аудиторских проверок.

Соответственно основными задачами подразделений внутреннего аудита в коммерческом банке являются:

  • • разработка программ и проведение аудиторских проверок по вопросам, определяемым планами работ;
  • • определение состава показателей, по которым осуществляется аудиторское наблюдение за деятельностью банка и его учреждений, организация сбора, систематизации и анализа соответствующей информации;
  • • организация системных (по системе банка) аудиторских проверок с привлечением различных подразделений банка на местах;
  • • систематизация, учет и хранение нормативно-методических документов по вопросам проведения аудиторских проверок, а также по вопросам, относящимся к соответствующим показателям деятельности банка, по которым осуществляется контроль на постоянной (регулярной) основе;
  • • разработка специфических приемов и методов проведения анализа информации о работе банка и его учреждений.

Характерные особенности внутреннего аудита, как правило, зависят от условий осуществления контроля, установленных советом директоров и руководством, размера и структуры банка и факторов риска, присущего деятельности учреждения. Используя классификацию рисков в качестве основы для выяснения вопроса, что подлежит проверке и с какой частотой, готовят годовую программу аудита. Затем определяют ресурсы, необходимые для выполнения всей программы. При этом необходимо учитывать, что стоимость аудиторской работы следует сопоставить с представлением о риске.

К процессу планирования желательно привлекать руководителей департаментов, подлежащих проверке. Руководители могут квалифицированно оценить предположения аудиторов о сферах собственной деятельности, сопряженных с риском. Итоговая программа должна быть одобрена советом директоров или другим исполнительным органом банка. Это дает гарантию аудиторам, что они будут иметь необходимые полномочия во время аудиторской проверки.

Для успешного проведения аудита необходимы:

  • Тщательное планирование. Аудиторам следует избегать досконального изучения всей сферы деятельности проверяемого объекта. Об аудиторской проверке необходимо предупреждать заранее, однако аудит процедуры хранения (например, кассы) должен проводиться неожиданно, так как предупреждение ликвидирует объект аудита. Сотрудники аудиторской службы должны быть соответствующим образом проинструктированы и знать, следует ли им заявлять о конфликте интересов в той области, где они проводят аудиторскую проверку.
  • Понимание системы, в которой проводится аудиторская проверка, и цели проверки.
  • Тщательная оценка рисков и механизма управления ими. Аудиторы должны оценивать риски и аккуратно документировать свои оценки. Руководители службы аудита должны быть готовы поставить под сомнение оценки своих сотрудников.
  • Высокая информированность. Департамент, в котором проводится аудиторская проверка, должен знать о ее целях. Аудиторы согласовывают свое мнение о рисках с теми, кого они проверяют, и достигают с ними согласия относительно любых недостатков в механизме управления. Отчеты об аудиторской проверке должны быть краткими и ни на одном из этапов не должны содержать принципиально новой информации для тех, кого проверяют.
  • Подробная документация. Следует использовать стандартную форму отчетности о результатах аудиторских проверок. Документация должна быть доступной для ознакомления внешних аудиторов. Следует согласовать период хранения документации аудиторской службы.

Все экспертизы и проверки оформляются в виде отчетов. Отчет об аудиторской проверке должен четко раскрывать цели проверки, ее глубину, проведенные мероприятия, сделанные заключения и любые рекомендации. Как правило, отчет направляется начальнику департамента, в котором была проведена аудиторская проверка. Краткое изложение отчета может быть также направлено курирующему члену совета директоров.

Оценки результатов аудиторских проверок следует каким-либо образом классифицировать. Это позволяет начальнику департамента быстро получить представление о состоянии контроля в его области. Такая классификация должна быть очень простой и опираться на определения[5].

  • • Аудиторы должны обязательно проверять выполнение сделанных рекомендаций. Репутация службы аудита пострадает, если в департаменте забудут отреагировать на рекомендации, а служба аудита забудет проконтролировать данный вопрос.
  • • Эффективность внутреннего аудита зависит также от хорошей организации и соответствующего кадрового потенциала, а также от хорошего обмена информацией и отношений (хотя последние должны строиться на расстоянии «вытянутой руки»[6]) с другими управлениями банка.
  • • Аудиторы не должны действовать как часть собственно системы контроля. Например, проверка актива, проводимая аудитором, не должна заменять проверку, проводимую сотрудниками, отвечающими за управление данным активом.
  • • Аудиторам следует соблюдать внутренний протокол в любом месте, где они проводят аудит. Внутренний аудит является услугой, оказываемой правлению. Аудиторы должны осознавать, что характер их работы может приводить к некоторым изменениям в работе подразделений банка.
  • • Аудиторам следует сообщать о любой личной заинтересованности, которая может помешать им проводить аудиторскую проверку данного подразделения. Например, они могут оказаться в положении, связанном с проведением аудита работы близких друзей или родственников.
  • • Аудиторам следует быть осмотрительными и сдержанными. Вероятно, что в ходе аудиторской проверки они могут натолкнуться на секретные документы. Некоторые из них, особенно в головном офисе крупного банка, могут представлять и политический секрет.
  • • Аудиторам следует придерживаться строгого этического кодекса. Часть информации, с которой сталкиваются аудиторы, может быть использована для личной выгоды. Поэтому должны быть установлены правила, обязывающие аудиторов заблаговременно ставить в известность главного аудитора об их личных операциях с акциями или другими финансовыми инструментами. Также должны существовать правила, запрещающие принимать подарки от третьих лиц или соглашаться на встречные услуги.

В целом деятельность внутренних аудиторов должна соответствовать следующим принципам: независимость от подразделений и лиц, осуществляющих функции оперативного руководства, отвечающих за осуществление контроля на повседневной основе; доступность ко всей информации банка и его подразделений; укомплектованность специалистами, имеющими квалификацию, позволяющую им выполнять свои функции и представлять эффективную систему отчетности.

Внутренние аудиторы открыто взаимодействуют с внешним аудитором лишь по согласованию с руководством.

Роль органа внешнего аудита заключается в высказывании мнения относительно годовых отчетов или утверждении этих отчетов. При этом необходимо определить, были ли финансовые результаты деятельности банка отражены в финансовой отчетности в установленном порядке. В этом контексте система внутреннего контроля интересует внешних аудиторов постольку, поскольку она имеет значение для финансовой отчетности. В частности, внешние аудиторы оценивают эффективность функционирования СВК только в том случае, если они намерены положиться на средства контроля для того, чтобы сформировать свое мнение относительно финансовой отчетности.

Основной отдачей службы внутреннего аудита является гарантия для управляющего или лица, эквивалентного ему по статусу, что все системы банка построены разумно и в их работу включены механизмы контроля. Отдачу нельзя измерить точно. Однако ежегодно можно отслеживать определенные показатели, несмотря на их недостатки. К таким отчетным показателям можно отнести следующие: число сотрудников в департаменте аудита, стоимость содержания департамента аудита, число отчетов об аудиторских проверках, число завершенных аудиторских проверок за один год по сравнению с планом, число аудиторских рекомендаций, обзор отзывов об аудите.

Но все же ценность службы внутреннего аудита является субъективным понятием и в конечном счете именно суждение совета директоров о заключениях и профессионализме аудиторов будет определять их вклад в развитие коммерческого банка.

Система внутреннего контроля в рекомендациях Базельского комитета по банковскому надзору означает совокупность организационных мер, методик и процедур, используемых руководством аудируемого лица в качестве средств для упорядоченного и эффективного ведения финансово-хозяйственной деятельности, обеспечения сохранности активов, выявления, исправления и предотвращения ошибок и искажения информации, а также своевременной подготовки достоверной финансовой (бухгалтерской) отчетности.

Современный этап истории унификации требований к системе внутреннего контроля предприятий начался в 1985 г. в США, когда при участии и на средства пяти профессиональных саморегулируемых организаций — AICPA (American Institute of Certified Public Accountants), Американской ассоциации по учету и отчетности (American Accounting Association), FEI (Financial Executives Institute), Института внутренних аудиторов (Institute of Internal Auditors, IIA) и Института специалистов управленческого учета (Institute of Management Accountants) — была создана национальная комиссия по борьбе с недостоверной финансовой отчетностью, известная по имени первого своего председателя Джеймса С. Тредуэя (James С. Treadway) как Комиссия Тредуэя. Выпущенный ими в 1987 г. отчет, помимо других рекомендаций, содержал призыв к перечисленным организациям — спонсорам Комиссии Тредуэя объединить усилия по достижению договоренности об общих для всех основных понятиях внутреннего контроля. Основываясь на этом предложении, рабочая группа под покровительством Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) провела анализ существовавшей на тот момент литературы по внутреннему контролю. Результат этой работы был представлен общественности в 1992 г. под названием «Интегрированная концепция внутреннего контроля» (Internal Control — Integrated Framework). Кратко этот документ принято называть по наименованию комитета- организатора, концепцией COSO, моделью COSO или просто COSO.

Модель COSO была особенно важна, поскольку акцент в ней был сделан на ответственности руководства предприятия за состояние контроля. В ней также были определены основные понятия и определения внутреннего контроля и его ключевые компоненты, исходя из следующих ключевых предпосылок:

  • • Внутренний контроль — это процесс, т.е. средство достижения цели, а не самоцель.
  • • Внутренний контроль осуществляется людьми, поэтому для него важны не только (и не столько) правила, процедуры и другие руководящие документы, но люди на всех уровнях организации.
  • • От внутреннего контроля владельцы и руководство предприятия могут ожидать только обоснованного уровня обеспечения достижения поставленных целей, но никак не абсолютной гарантии безошибочной работы.
  • • Внутренний контроль обеспечивает достижение поставленной цели или нескольких целей в смежных областях деятельности.

Согласно COSO, внутренний контроль — это процесс, осуществляемый высшим органом предприятия, определяющим его политику (например, советом директоров, который представляет владельцев компании), его управленческим персоналом высшего уровня (менеджментом) и всеми другими сотрудниками, в достаточной и оправданной мере обеспечивающий достижение предприятием следующих целей:

  • • целесообразность и финансовая эффективность деятельности (включая сохранность активов);
  • • достоверность финансовой отчетности;
  • • соблюдение применимого законодательства и требований регулирующих органов.

Система внутреннего контроля, по оценке COSO, должна строиться из пяти взаимосвязанных компонентов:

  • • контрольная среда и нравственный климат;
  • • оценка риска;
  • • мероприятия контроля;
  • • сбор и анализ информации и передача ее по назначению;
  • • мониторинг и исправление ошибок.

Основанный Лондонской фондовой биржей комитет под председательством Эдриана Кэдбери (Adrian Cadbury) в своих рекомендациях по разработке требований к Кодексу корпоративного управления, изданных в 1992 г., принял в общем идентичные COSO определения контроля. С 1995 г. высшие органы управления всех предприятий, акции которых официально значились в листингах на фондовом рынке Великобритании, были обязаны ежегодно проверять и анализировать эффективность внутреннего финансового контроля и сообщать результаты этой проверки в специальном Ежегодном отчете директората. В 1998 г. Лондонской фондовой биржей был издан Объединенный кодекс корпоративного управления (Combined Code), который объединял в себе принципы, изложенные комиссией Кэдбери, и принципы, относящиеся к роли и ответственности руководства компаний, изданные в 1995 г. Комитетом Гринбери. В Объединенный кодекс было включено требование о проверке и подготовке отчета всех трех перечисленных COSO типов контроля, а не только финансового контроля. Документы по корпоративному управлению, действующие в Великобритании, не добавили ничего существенного к понятийному аппарату внутреннего контроля, однако само признание данных рекомендаций обязательными для значительного количества компаний, акции которых торгуются на фондовом рынке этой страны, сыграло значительную роль для осознания их важности.

В 1995 г. Совет по критериям контроля (СоСо) Канадского института дипломированных бухгалтеров опубликовал Руководство по контролю. В полном соответствии с принципами COSO в Руководстве были детально разработаны 20 критериев эффективного контроля, разбитые на четыре категории: назначение; обязательства; возможности; наблюдение и обучение. Руководство призывало органы управления компаний обосновывать оценку эффективности контроля по каждому из 20 критериев. В СоСо нашла отражение также мысль о том, что ошибки в распознавании и использовании возможностей должны рассматриваться как особый вид риска, который должен специально оцениваться.

В том же 1995 г. была первая попытка создания официального нормативного документа по управлению рисками — Стандартов Австралии и Новой Зеландии по Управлению рисками (ANZ Risk Management Standard). В основе его концепции лежали известные принципы оценки риска в таких областях, как безопасность мореплавания, мостостроение и ядерная безопасность. Пересмотренные стандарты AS/NZS 4360 были изданы в апреле 1999 г.

«Цели контроля за информационными и связанными с ними технологиями» (CobiT, Control Objectives for Information and Related Technology•), впервые опубликованные в 1996 г., были попыткой на международном уровне установить стандарты безопасности и контроля в сфере информационных технологий. Документ использовал интегрированную модель контроля за информационными технологиями для поддержки бизнес-процессов, предложенную Ассоциацией аудита и контроля информационных систем (Information Systems Audit and Control Association, ISACA). Последняя редакция этого документа была опубликована в июле 2000 г.

Пожалуй, одним из наиболее последовательных институтов в применении модели COSO является Базельский комитет по банковскому надзору, признанный законодатель моды в области банковского регулирования. В 1998 г. он выпустил два документа («Основы оценки системы внутреннего контроля» и «Система внутреннего контроля в банках: основы организации», Публикации № 33 и 40), посвященных оценке эффективности внутреннего контроля в банках. Базельский комитет предложил для всех органов надзора набор принципов, согласно которым должна строиться оценка адекватности систем внутреннего контроля банка за всеми балансовыми и внебалансовыми инструментами. Три основные цели, к достижению которых должна стремиться кредитная организация путем создания эффективной системы внутреннего контроля, совпадали с основными целями внутреннего контроля в модели COSO.

Комитет представил 13 принципов, соблюдение которых необходимо для достижения эффективного внутреннего контроля. Эти принципы были сгруппированы в пяти категориях, совпадающих с предложенными COSO, и одной специфической, характерной для сложившейся в мире стандартной двухуровневой банковской системы — оценка состояния системы внутреннего контроля органами банковского надзора.

В июле 2000 г. и августе 2001 г. были изданы также рекомендации «Внутренний аудит в кредитных организациях и отношения регулирующих органов с внутренними и внешними аудиторами» и «Внутренний аудит в банках и взаимоотношения регулирующих органов и аудиторов» (Публикации № 72 и 84). Дальнейшее развитие концепция риск- ориентированного внутреннего контроля получила в документах Базельского комитета, посвященных управлению операционным риском. В этих документах частично нашли отражение и многие новые идеи, изложенные в последней разработке COSO — «Концепции управления рисками предприятия» (Enterprise Risk Management Framework).

Enterprise Risk Management Framework является дальнейшим развитием модели COSO и в значительной мере — ответом профессионального сообщества на осложнение обстановки в связи с ростом угрозы терроризма и громкими банкротствами международных компаний последних лет, вызванными некорректностью их финансовой отчетности.

Для работающего финансового института более важным является достижение поставленных им самим целей и оптимизация связанных с этим затрат, т.е. оба аспекта эффективности деятельности. Значит, и существующий внутренний контроль будет прежде всего ориентироваться на эти цели, тем более что несоответствие регулирующим документам может рассматриваться как один из видов рисков — важный, но не единственный.

Согласованное принятие регуляторами и их подопечными концепции COSO могло бы разрешить такое противоречие. С точки зрения модели COSO главной целью выпуска регулирующими органами нормативных документов должно являться снижение уровня системных рисков в финансовой системе страны путем проецирования смягчающих риски контролей на уровень каждого конкретного финансового института. Никто не может гарантировать, что однажды придуманный финансовыми властями контроль реально смягчит воздействие риска в современных, весьма изменчивых условиях, если система не будет получать сигналов об уровне риска по каналам обратной связи.

С другой стороны, внедрение компонентов системы внутреннего контроля, необходимых по модели COSO для ее эффективного функционирования, может оказать на деятельность финансовой организации существенное позитивное влияние, поскольку предоставляет и менеджменту, и владельцам возможность сконцентрироваться на постановке и достижении целей предприятия (куда развиваться, какие и кому финансовые услуги предлагать с учетом присущих им рисков, и т.д.), а не на текущем процессе банковской деятельности.

  • [1] Christelle Р., Chaumartin A. Comitcs d’audit: un aboutissement naturel du controleinterne // Banque. Paris. 1995. № 560. P. 55.
  • [2] Это авторская точка зрения, хотя существует и другая. Так, например, М.В. Петров в статье «Вопросы формирования системы внутреннего контроля в кредитныхорганизациях» (Деньги и кредит. 2000. № 1) отмечает: «Внутренний контроль —это процесс, осуществляемый Советом директоров, старшими должностными лицами и сотрудниками всех уровней управления...».
  • [3] Внутренние аудиторы поставляют руководству банка, осуществляющему управление, результаты анализа, рекомендации, советы и информацию о деятельностипроверяемого ими подразделения банка.
  • [4] Комитет по аудиту, как правило, состоит из членов совета директоров, не являющихся исполнительными лицами банка. В заседаниях комитета могут приниматьучастие внешние и внутренние аудиторы.
  • [5] Например, в Банке Англии оценка «хорошо» показывает, что меры контроля всфере, подвергшейся проверке, и сопряженных с ней областях достаточны и, какпоказывают факты, работают надежно. Оценка «неудовлетворительно» свидетельствует о том, что работа контрольных механизмов проверяемой сферы имеет серьезные недостатки и подвергает организацию неприемлемым рискам.
  • [6] Albeit at «arms-length».
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >